Il ne se passe guère de semaine sans qu’une grande entreprise ne soit victime d’une attaque par ransomware.
Oui, la sécurité est difficile : Personne n’est jamais à l’abri à 100 % des menaces qui nous guettent
Comment se fait-il qu’à chaque fois, des entreprises continuent à se laisser prendre par des attaques de ransomware ?
➜ Pourquoi ne faisons-nous pas mieux pour les prévenir ?
L’authentification à deux facteurs n’est pas appliquée partout.
L’authentification à deux facteurs (2FA) est probablement l’amélioration de la sécurité la plus simple qu’une organisation puisse mettre en œuvre, et c’est l’une des solutions les plus préconisées par les professionnels de l’informatique.
Malgré cela, nous continuons à voir des brèches comme celle de Colonial Pipeline parce que les organisations n’ont pas mis en œuvre l’authentification à deux facteurs ou ne l’ont pas mise en œuvre de manière complète.
Tout ce qui nécessite un nom d’utilisateur et un mot de passe pour y accéder doit être doté de la fonction 2FA.
- Cela concerne les emails
- les applications professionnelles
- les déploiements en nuage
- les VPN
- tout ce qui nécessite des identifiants de connexion.
Les erreurs des utilisateurs ne cesseront jamais – pourquoi prétendre le contraire ?
➜ Les techniques modernes de phishing sont si perfectionnées que même les professionnels de l’informatique en sont victimes.
Les attaquants font de la reconnaissance contre leurs cibles et adaptent leurs techniques pour réussir. Et les flux de travail de nombreux employés sont littéralement une étude de cas sur les cibles des attaques de phishing.
Après tout, comment peut-on attendre d’un comptable, dont le travail consiste à ouvrir des PDF et à traiter des bons de commande, qu’il sache à l’avance quel PDF est sûr et lequel pourrait contenir un logiciel malveillant ?
➜ Nous plaçons des attentes irréalistes sur les utilisateurs
Ensuite nous nous étonnons et les blâmons lorsqu’ils commettent la même erreur que de nombreux professionnels de l’informatique.
On ne peut pas s’attendre à ce que les employés ne fassent pas d’erreurs. Les employés feront toujours des erreurs, alors pourquoi prétendre que cela va changer ?
Les solutions antivirus reposent sur une logique de détection facile à contourner
L’antivirus, le plus ancien logiciel de sécurité existant, a beaucoup évolué au cours des 20 dernières années. Cependant, de nombreuses solutions antivirus reposent encore sur des systèmes archaïques basés sur les signatures pour détecter les logiciels malveillants.
La détection d’un code malveillant à l’aide d’un antivirus repose sur une signature binaire du code, ou un hachage de fichier, et cela ne fonctionne que si le code ne change pas. Renommer des fonctions à l’intérieur du code avant de le compiler ou déplacer des blocs de code à l’intérieur du code peut rendre inutile une détection auparavant viable.
Les antivirus traditionnels ne font pas « exploser » les logiciels malveillants, c’est-à-dire qu’ils n’exécutent pas le code dans un bac à sable protégé. Par conséquent, même si le comportement du logiciel malveillant est identique, quelle que soit sa signature, il est extrêmement difficile de le détecter.
Les solutions EDR/XDR/MDR sont sujettes à des retards
La myriade de solutions « DR » (détection et réponse) est nettement plus robuste que l’antivirus, mais elle a aussi ses limites.
Comme la logique de traitement des événements des points d’extrémité se trouve dans le nuage, il peut y avoir un délai de plusieurs secondes à plusieurs minutes entre l’apparition d’un événement et son arrivée dans la console de l’administrateur. Cela les rend susceptibles de manquer l’exécution d’un ransomware.
Lorsqu’une charge utile de ransomware est activée, l’ensemble du réseau peut être mis hors service en quelques secondes, voire quelques minutes.
Les opérateurs de ransomware préparent souvent à l’avance la charge utile du ransomware sur tous les systèmes du réseau, de sorte qu’elle est exécutée presque simultanément sur tous les systèmes de l’entreprise, et bien plus rapidement qu’une solution de DR ne peut le détecter.
➜ Il convient de souligner que les solutions DR+AV du même fournisseur sont souvent dotées d’une option de « blocage » qui peut permettre à l’administrateur d’isoler/de mettre en quarantaine une machine si une charge utile ou une séquence d’actions malveillantes est détectée.
Toutefois, dans la pratique, cette option est généralement désactivée par défaut et, par crainte d’affecter la productivité des utilisateurs en raison de faux positifs, elle est souvent laissée désactivée.
Les techniques LOLBin sont plus difficiles à détecter
Une autre raison fréquente du succès des ransomwares est que les opérateurs ont appris à utiliser une technique appelée « living off the land binaries » (LOLBins).
Il s’agit d’outils d’administration normaux, généralement dans Microsoft Windows, mais tous les systèmes d’exploitation modernes en possèdent. Ces outils ont des objectifs valables et légitimes et sont utilisés tous les jours par les administrateurs, ce qui rend la détection d’une utilisation malveillante de ces outils extrêmement difficile.
Il est facile pour les antivirus et les solutions de secours de détecter les outils sur mesure développés par les acteurs, mais presque impossible de déterminer qui sont les administrateurs dépannant la connectivité du réseau.
C’est la raison pour laquelle la plupart des fournisseurs de solutions DR n’émettent pas d’alerte en cas d’utilisation de ces LOLBins ou émettent une alerte de faible gravité, car ces commandes ont un taux de faux positifs très élevé lorsqu’elles sont utilisées pour détecter une activité malveillante.
Dans certains cas, les outils LOLBin peuvent être exploités pour des fonctionnalités supplémentaires qui ont été ajoutées au code parce qu’un développeur ou un client a voulu, à un moment donné, que ses outils d’administration aient la capacité de télécharger des fichiers arbitraires depuis internet, ou les outils eux-mêmes peuvent lancer des applications secondaires.
En incitant une application valide et signée à ouvrir une application non fiable et non signée, les attaquants peuvent contourner ce contrôle de sécurité avec rien de plus que les applications par défaut qui font partie du système d’exploitation.
Les outils d’attaque librement disponibles
Les attaquants n’ont jamais été aussi bien lotis en termes d’outils disponibles gratuitement :
- comme Metasploit
- Mimikatz
- ou les copies pirates de Cobalt Strike
Qu’il s’agisse :
- d’outils de phishing
- de cadres d’obscurcissement
- d’outils d’accès initial
- d’infrastructure de commande et de contrôle (C2)
- d’outils d’abus d’informations d’identification
- ou même de charges utiles de ransomware open-source
…la quasi-totalité de ces éléments peut être trouvée gratuitement sur GitHub.
La plupart des gens supposent que les acteurs malveillants se cachent sur le Dark Web et vendent des outils en bitcoins aux « Black Hat » les plus louches, mais ce n’est tout simplement pas vrai.
L’industrie a donné sa bénédiction aux professionnels de la sécurité offensive pour qu’ils développent et diffusent des cadres d’attaque, sous prétexte que « les défenseurs doivent comprendre ces tactiques » . Mais cela ne tient pas compte du fait que les cadres d’attaque aident également les attaquants et compliquent la tâche des défenseurs.
S’il est vrai que les défenseurs doivent comprendre les tactiques d’attaque, en réalité, la plupart d’entre eux sont trop pris par leur travail quotidien pour avoir le temps de tester chaque cadre d’attaque et de développer ensuite des défenses.
➜ La plupart de ces outils d’attaque sont bien documentés dans leur utilisation, mais pas dans leur détection
- Alors qu’un attaquant doit simplement savoir utiliser Google, GitHub et avoir des compétences informatiques de base
- les défenseurs doivent payer des sommes énormes pour des outils et des appareils complexes qui ne peuvent être performants que dans un scénario de test autoritaire
➜ Mise en garde
Il existe des applications-espionnes qu’un de vos proches peut installer de manière invisible dans votre téléphone.
Elles rappatrient ensuite vos mots de passe mais aussi vos discussions sur les réseaux sociaux et vos SMS/MMS.
- Cette application est la plus sûre d’entre toutes.
- Celle-là peut en plus enregistrer vos communications téléphoniques, mais uniquement sur un Android rooté.
Les groupes de ransomware collaborent mieux que l’industrie de la sécurité informatique
➜ Les cartels de ransomware existent parce qu’ils collaborent
La plupart des acteurs du secteur de la sécurité s’accordent à dire que les mauvais acteurs collaborent mieux que les équipes et les organisations qui tentent de les arrêter.
- En répartissant le travail entre plusieurs groupes criminels, les tactiques, techniques et procédures (TTP) sont plus difficiles à attribuer à un seul acteur
- les intentions de l’acteur malveillant peuvent être obscurcies
- et les cartels de ransomware-as-a-service (RaaS) peuvent donner la priorité aux cibles de grande valeur
Le modèle de partage des bénéfices de RaaS fonctionne bien pour motiver ces acteurs à trouver constamment de nouvelles cibles, tout en confiant les tâches les plus lourdes à des professionnels plus sophistiqués.
Cette méthode de collaboration conduit à une division du travail très efficace, les groupes criminels louant l’accès initial et demandant à leurs affiliés de sélectionner des organisations de grande valeur et très fortunées qui sont plus susceptibles de payer la rançon qu’une petite entreprise familiale (bien que cette dernière ne soit évidemment pas à l’abri).
Une fois que le pirate a déterminé l’entreprise qu’il a touchée et sa valeur, il fixe la rançon à un montant que la victime peut se permettre.
➜ Une attaque qui coûte 10 000 dollars à une entreprise peut coûter 10 millions de dollars à une autre, et elle utilisera exactement les mêmes outils, flux d’attaque, courtier d’accès et charge utile de ransomware.
Absence de réponse et de stratégie coordonnées dans les secteurs privé et public
Les ransomwares ne constituent pas une nouvelle menace, mais il est de plus en plus facile de les réaliser, d’être payé et de s’en tirer.
Une grande partie du problème se situe au niveau du secteur public :
- pendant des années, il n’y a pas eu de politique
- d’orientation
- ou de planification stratégique claire sur la manière dont le gouvernement devait faire face à ces attaques
De nombreuses entreprises touchées n’ont d’autre recours que de payer la rançon.
Les poursuites ciblées du gouvernement à l’encontre d’individus n’ont eu que peu ou pas d’impact sur les activités criminelles ou celles des États-nations. Et la coordination entre les secteurs public et privé a fait cruellement défaut.
L’énigme géopolitique
Les problèmes de politique publique susmentionnés sont exacerbés par le fait que les gangs de rançongiciels opèrent souvent dans des pays qui ne relèvent pas de la juridiction occidentale et qui n’ont pas conclu d’accords d’extradition avec ces pays.
Des pays comme la Russie ont clairement fait savoir qu’ils n’extraderaient pas les acteurs malveillants de leur pays, à moins que cela ne fasse partie d’un accord beaucoup plus large, et qu’ils ne prendraient aucune mesure d’application de la loi nationale à moins que ces acteurs ne s’attaquent à des entreprises russes.
➜ Cela signifie que les criminels sont essentiellement libres d’agir, sans entrave et en toute impunité.
C’est pourquoi la plupart des charges utiles des ransomwares vérifient la présence de langues russes et de langues des pays limitrophes dans le système d’exploitation et s’autodétruisent immédiatement et sans danger s’ils détectent qu’ils s’exécutent sur un système dans un pays où une attaque pourrait attirer l’ire du gouvernement russe.
Internet n’a pas de frontière et, même si un attaquant peut décider de masquer son emplacement et d’imiter un attaquant basé en Russie, il n’y a aucun moyen de déterminer avec une certitude absolue que l’attaque provient des frontières russes.
Les méthodes traditionnelles utilisées par les gouvernements pour soumettre un pays à leur volonté (sanctions, embargos, augmentation des taxes à l’importation, etc) ne fonctionnent pas.
Les crypto-monnaies alimentent l’ensemble de l’industrie
Les crypto-monnaies resteront dans les mémoires pour deux choses :
- Faciliter les ransomwares
- Et augmenter de manière exponentielle la production de CO2
Plus sérieusement, sans un solide écosystème de crypto-monnaies, les gangs de ransomware n’existeraient plus.
➜ Les crypto-monnaies alimentent l’ensemble de l’industrie criminelle
- En effet elles fournissent un cadre financier qui contourne le système financier mondial
- sont souvent difficiles à tracer (même si les paiements de rançon sont souvent demandés en bitcoin, ils sont ensuite transférés dans une crypto-monnaie différente et intraçable avant de retirer les fonds)
- et traversent facilement les frontières internationales
Bien que le département du Trésor américain ait récemment sanctionné la bourse de crypto-monnaies SUEX pour son implication présumée dans les crimes liés aux ransomwares, cette action n’est qu’une goutte d’eau dans l’océan.
- Ces groupes peuvent passer à des échanges différents
- exiger des transactions directes de la part des victimes
- ou passer à des crypto-monnaies plus difficiles à tracer comme Monero
Si le gouvernement américain voulait sérieusement paralyser l’industrie criminelle des crypto-monnaies, il ciblerait les pièces intraçables elles-mêmes, en sanctionnant toute entreprise (crypto ou autre) qui permet ces transactions et conversions.
Que faire face au fléau des ransomwares ?
Malheureusement, il n’existe pas de solution miracle pour mettre fin à la menace existentielle que représentent les ransomwares pour :
- l’informatique
- les infrastructures critiques
- et le monde de plus en plus interconnecté dans lequel nous vivons
Les utilisateurs et les organisations doivent rester vigilants, adopter des approches de sécurité à plusieurs niveaux (quelques idées de stratégies sont disponibles ici), et comprendre que la détection précoce et la correction rapide de toute violation est une approche bien plus économique que l’alternative.